服務端異常資訊

一. 漏洞描述

        如果攻擊者通過僞造包含非應用程式預期的參數或參數值的請求，來探測應用程式，那麼應用程式可能會進入易受攻擊的未定義狀态。攻擊者可以從應用程式對該請求的響應中擷取有用的資訊（敏感資訊），且可利用該資訊，找出應用程式的脆弱點。

二. 漏洞産生原因

        伺服器未自定義統一錯誤頁面使得異常資訊抛出，導緻資訊洩露。

三. 挖掘方法

       1. 通過web掃描工具對網站掃描可得到結果。

       2. 或者通過手工，去嘗試打開一些不存在的網站路徑，或者檔案，以及在url中輸入一些敏感的字元，看其頁面是否會抛出異常或者報錯，導緻錯誤消息中包含一些網站架構，版本，等敏感資訊。如下所示

四. 漏洞修複

服務端設定統一報錯資訊，屏蔽異常抛出的敏感資訊。